JVNDB-2012-003007
|
Simple Certificate Enrollment Protocol (SCEP) の実装に問題
|
|
Simple Certificate Enrollment Protocol (SCEP) の実装には、問題が存在します。
一部のモバイルデバイス管理 (MDM) ツールは、Simple Certificate Enrollment Protocol (SCEP) を使用して、証明書の管理を行っています。そのようなシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されています。
|
|
CVSS v2 による深刻度
基本値: 1.4 (注意) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
マイクロソフト
- Microsoft Windows Server 2003
- Microsoft Windows Server 2008
- Microsoft Windows Server 2008 R2
|
Simple Certificate Enrollment Protocol (SCEP) を実装しているシステムが影響を受ける可能性があります。
詳しくは VU#971035 が提供する Vendor Information をご確認ください。
|
|
他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性があります。
|
|
[ワークアラウンドを実施する]
以下の回避策を適用することで、本問題の影響を軽減することが可能です。
* 認証に SCEP ではなく Certificate Management Protocol (CMP) や Certificate Management over CMS を使用する
* 信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する
* 同一のチャレンジパスワードを使いまわししない
* 証明書発行依頼ができるユーザを制限する
詳しくは参考情報をご確認ください。
|
|
マイクロソフト
|
|
|
|
|
|
- JVN : JVNVU#971035
- US-CERT Vulnerability Note : VU#971035
- 関連文書 : Certified Security Solutions - The Use of the Simple Certificate Enrollment Protocol (SCEP) and Untrusted Devices
- 関連文書 : IETF draft-nourse-scep-23 - Simple Certificate Enrollment Protocol
|
|
- [2012年07月05日]
掲載
[2012年11月01日]
影響を受けるシステム:マイクロソフト (Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure) の情報を追加
影響を受けるシステム:マイクロソフト (Microsoft SCEP Implementation Whitepaper.) の情報を追加
ベンダ情報:マイクロソフト (Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure) を追加
ベンダ情報:マイクロソフト (Microsoft SCEP Implementation Whitepaper.) を追加
[2013年01月24日]
CVSS による深刻度:基本値と脆弱性評価基準を追加
|
